폴리곤은 사푸인가요? 비평가: Multisig는 충분히 안전하지 않아 5억 달러 위험

폴리곤은 아마도 이더리움 베이스레이어(L1)에서 직접 거래하는 것에 대한 가장 인기 있는 대안일 것입니다. 이는 사용자에게 낮은 수수료로 빠른 거래를 할 수 있는 기회를 제공합니다. 다각형(MATIC)는 이더리움에 대한 소위 사이드 체인으로 가장 잘 알려져 있습니다. 즉, 자체 유효성 검사기 노드 집합을 실행하는 이더리움 가상 머신(EVM) 호환 블록체인입니다. 그러나 Polygon 팀도 투자 순수 Layer-2 기술에 많이 사용되며 zk-STARK 기반 Miden 스케일링 솔루션과 같은 서비스를 제공합니다.

물론 성공에는 사용자가 네트워크에 쏟아붓는 모든 자금을 보호할 책임이 따릅니다. 트윗 스레드에서 창립자이자 CIO인 Justin Bons는 사이버 캐피탈은 Polygon 팀이 주로 Polygon 스마트 계약 관리 키를 제어하는 ​​Polygon 스마트 계약 다중 서명 계약을 중심으로 느슨한 보안 조치를 사용하고 있다고 비난합니다. Bons에 따르면 이 키는 5억 달러 이상의 자금을 제어합니다.

1/14) 현재 상태의 폴리곤은 안전하지 않고 중앙 집중화되어 있습니다!

5억 달러 이상을 타협하는 데 단 5명이 필요합니다!

그 중 4명이 Poly의 창립자입니다!

이것은 일어나기만을 기다리고 있는 가장 큰 해킹 또는 탈출 사기 중 하나입니다.

무모하고 무책임한, 현명한 사람들에게 경고:

— 저스틴 본스(@Justin_Bons) 2022년 ２월 12일

“현재 상태의 폴리곤은 불안정하고 중앙 집중화되어 있습니다! 5억 달러 이상을 타협하는 데 다섯 사람만 있으면 됩니다! 그 중 XNUMX명이 폴리곤의 창시자입니다! 이것은 일어나기만을 기다리고 있는 가장 큰 해킹 또는 탈출 사기 중 하나입니다.”라고 Bons는 트윗했습니다.

"Polygon 팀은 Polygon을 완전히 제어할 수 있습니다."

“Polygon 스마트 계약 관리 키는 XNUMX개 중 XNUMX개의 다중 서명 계약에 의해 제어됩니다. 이것은 Polygon[팀]이 XNUMX개의 외부 당사자 중 하나만 공모하여 Polygon을 완전히 제어할 수 있음을 의미합니다. 다중 서명의 다른 XNUMX개 당사자도 Polygon에 의해 선택되었습니다.”라고 Bons는 말합니다.

Bons에 따르면 이는 다른 XNUMX개 정당이 "정확히 공정하지 않다"는 의미이기도 합니다. 계약 관리 키에 대한 제어는 규칙을 변경할 수 있는 권한과 같습니다. 그 시점에서 "무엇이든 가능해진다." 전체 Polygon 계약을 비우는 것을 포함합니다.

일부 비판은 폴리곤의 투명성 부족 주장도 지적된다. 폴리곤의 불투명성 의혹이 제기된 것은 이번이 처음이 아니다. 크리스 블렉 DeFi Watch에서 이전에 보낸 의뢰 명확성을 요청하는 Polygon 팀에. Bons와 Blec에 따르면 Polygon은 Blec의 요청에 응답하지 않았습니다.

그러나, 다각형 팀은 이전에 이러한 유형의 질문이 제기된 문제에 대해 침묵하고 있지 않습니다. 팀은 이전에 출판 문제를 명확하게 하기 위해 다중서명 투명성 보고서. Polygon의 공동 설립자인 Mihailo Bjelic은 Bons의 트윗에 대한 응답으로 Polygon이 "이를 제거하기 위해 노력하고 있기" 때문에 다중서명에 대한 우려를 간접적으로 확인했습니다. 다중 서명은 "초기 단계"에서 구현되었으며 시스템이 성장함에 따라 이상적인 솔루션이 아닌 것 같습니다.

1/9 다중서명 사용은 여러 번 언급되었습니다. 주로 초보자를 위해 핵심 사항을 다시 한 번 다루겠습니다.

핵심요약: 멀티시그는 보안을 낮추는 것이 아니라 강화하는 데 사용됩니다. Polygon은 이를 책임감 있게 사용하고 있으며 제거하기 위해 노력하고 있습니다. https://t.co/vSlSQUaRmX

— 미하일로 비엘릭(@MihailoBjelic) 2022년 ２월 14일

"[multisig]는 개발 초기 단계에서 사용자 자금을 확보하기 위한 최적의 접근 방식으로 간주되며 거의 모든 확장 및 브리징 프로젝트에서 사용됩니다."

Bjelic은 "다중서명을 개선하고 궁극적으로 제거할 계획"을 자세히 설명하는 투명성 보고서를 지적합니다. 그런 다음 Bjelic은 Bons의 트윗에서 몇 가지 요점을 설명합니다.

“출구 사기는 폴리곤에게 현실적인 우려가 아니다”

BjelicI에 따르면 출구 사기는 Polygon에게 현실적인 문제가 아닙니다. 멀티시그는 해킹으로부터 사용자를 보호하기 위해 사용되며, 폴리곤은 혐의와 달리 책임을 지기 때문에 멀티시그를 그대로 사용하고 있다.

Bons의 비판에 따르면 다중서명 5개 중 XNUMX개는 XNUMX억 달러의 자금을 보호하기에 "완전히 불충분"하며 이 XNUMX개 다중서명 중 XNUMX개는 Polygon이 선택한 외부 당사자에게 "제공"되었습니다. Bons에게 이는 담합의 위험이 될 수 있습니다.

그러나 BjelicI에 따르면 외부 당사자는 "명망 있는 Ethereum/Polygon 프로젝트이며 Polygon에서 선택하지 않고 참여하기로 결정했습니다."

“서명자가 많을수록 즉각적인 대응이 필요한 경우에 조정하기가 더 어렵습니다. 우리는 여기서 적절한 균형을 찾으려고 노력합니다. 우리는 이미 다른 대부분의 확장 프로젝트보다 더 많은 서명자를 보유하고 있습니다.”라고 BjelicI가 대답합니다.

Polygon이 해야 할 일은 다음과 같습니다.

그의 트윗에서 Bons는 Polygon 팀과도 몇 가지 조언을 공유합니다.

Bons의 의견으로는 Polygon은 Matic 토큰 보유자를 기반으로 자체 거버넌스를 분산시켜야 합니다. 현재 이는 검증인 수가 적은 DPoS(Delegated Proof of Stake) 모델에 따라 여전히 너무 중앙 집중화되어 있습니다. 에 따르면 데이터 Polygon 블록 탐색기 Plygonscan에서 XNUMX명의 검증자만이 지난 XNUMX일 동안 대부분의 블록을 채굴했습니다.

Polygon이 거버넌스를 탈중앙화하면. 그들은 스마트 계약 관리 키를 Matic 토큰 보유자에게 전송해야 한다고 Bons는 제안합니다. "Matic DAO"에게 효과적으로 제어권을 넘깁니다. 이를 위해서는 새로운 Polygon Smart 계약으로의 마이그레이션이 필요할 것입니다.

“분명히 매우 어렵고 비용이 많이 들 것입니다. 그러나 그것은 처음부터 일을 제대로 하지 않은 대가로 치러야 할 대가입니다. 탈중앙화와 그에 따른 보안을 위해 지불하는 비용입니다. 이것이 바로 암호화폐가 되어야 하는 것입니다.”라고 Bons는 트윗했습니다.

답변에서 BjelicI는 제안된 솔루션이 "투명성 보고서에 설명된 대로 확실히 우리의 목표입니다. 다만, 버그 발생 시 대응 시간이 길어지므로 점진적으로 구현 및 활성화할 예정”이라고 말했다.

CryptoSlate는 의견을 듣기 위해 Polygon에 연락했지만 작성 당시에는 답변을 받지 못했습니다. 일부 인용문은 명확성을 위해 편집되었습니다.